Faktat lyhyesti 

• Lähtökohtaisesti henkilötietoja voi siirtää EU:n ulkopuolelle, jos kohdemaan tietosuojalainsäädäntö on samankaltainen kuin GDPR. Muissa tapauksissa vaaditaan lisäsuojatoimia. 
• Aiemmat tiedonsiirtomekanismit Safe Harbour ja Privacy Shield EU:n ja Yhdysvaltojen välillä kumottiin vuosina 2015 (Schrems I) ja 2020 (Schrems II). 

• 10.7.2023 Euroopan komissio hyväksyi uuden riittävyyttä koskevan päätöksen EU:n ja USA:n tietosuojaviitekehyksen (EU-US Data Privacy Framework, ”DPF”) avulla. 
• Heinäkuussa hyväksytty EU-US DPF on edeltäjiensä kaltainen itsesertifiointimekanismi, johon yhdysvaltalaiset organisaatiot voivat liittyä. Tähän päivään mennessä EU-USA DPF:n alle sertifioituneita organisaatioita on jo lähes 2 500.  

Mitä tietosuoja-ammattilaisten pitää seuraavaksi tehdä? 

Voiko nyt sitten lopettaa tiedonsiirtoarviointien tekemisen? Valitettavasti ei. Henkilötiedonsiirtoihin liittyvät vaatimukset eivät päde ainoastaan Yhdysvaltoihin, vaan kaikkiin tiedonsiirtoihin. Organisaatioiden on edelleen tunnettava ja dokumentoitava tiedonsiirtonsa, jotta tiedonsiirron laillisuus pystytään todentamaan. Uunituore EU-US DPF tuo organisaatioille yhden lisävaihtoehdon tiedonsiirtomekanismiksi, mutta ei poista tiedonsiirtoarvioinnin (eli TIA:n) vaatimusta kolmansien maiden kohdalla.  

1. Varmista, että organisaatiossa tunnetaan tiedonsiirrot. Dokumentoi tiedonsiirtoketjut sekä tahot ja maat, joihin tietoja siirretään. Ota analyysiin mukaan palveluntarjoajan sijainti, palvelimien sijainnit sekä toimittajasi edelleen ulkoistamat palikat eli mahdolliset henkilötietojen alikäsittelijät. 

2. Jos henkilötietoja siirretään Yhdysvaltoihin, tarkista täältä, onko henkilötietoa käsittelevä yhdysvaltalainen organisaatio sertifioitunut osana EU-US DPF:ää.  

1. Jos käsittelijä löytyy listalta, päivitä dokumentaatioosi EU-US DPF -siirtomekanismiksi. Voit tässä kohtaa hetkeksi huokaista helpotuksesta ja olla jatkamatta kokonaisvaltaisen TIA-arvioinnin tekemistä. 

2. Jos käsittelijä ei löydy listalta, varmista että organisaatiollasi on toinen siirtomekanismi olemassa (käytännössä mallisopimuslausekkeet). Jatka TIA-prosessia arvioimalla tiedonsiirrossa käytössä olevien suojatoimenpiteiden riittävyyttä. 

3. Dokumentoi tiedonsiirtomekanismi ja jatka TIA-prosessia muiden kolmansien maiden kohdalla. 

Onko uunituore EU-US tiedonsiirtomekanismi tuhoon tuomittu?  

Mahdollisesti. Voittoa tavoittelematon tietosuojaryhmä NOYB ja sen taustalla vaikuttava Max Schrems ovat väläyttäneet jo useissa asiayhteyksissä tiedonsiirtomekanismin riittämättömyydestä. Tietosuojan kulisseissa huhutaankin jo Schrems III:sta, joka veisi organisaatiot takaisin lähtöpisteeseen. Mitä tässä sitten pitäisi tehdä? 

Osana siirtomekanismin päivitystä dokumentoi, mikäli DPF:n lisäksi organisaatiosi on allekirjoittanut mallisopimuslausekkeet (eli SCC:t) yhdysvaltaisen toimijan kanssa. Mikäli EU-US DPF kumotaan Schrems III -päätöksellä, on organisaatiosi helpompi jatkaa edelleen kattavan TIA-arvioinnin tekemiseen.  

Lue lisää:

• Uusi EU-USA tiedonsiirtomekanismi: valoa tunnelin päässä tietosuoja-ammattilaisille vai uusi kananlento?

Oona Matinpalo (oona.matinpalo@tietoturva.fi, Twitter: @oonamatinpalo toimii Tietoturva ry:n hallituksessa. 

Tämä artikkeli on alun perin julkaistu Deloitten nettisivuilla.